Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Artifact Signing ist eine Azure-native Ressource, die volle Unterstützung für gängige Azure-Konzepte wie Ressourcen bietet. Wie bei jeder anderen Azure-Ressource verfügt die Artefaktsignierung über einen eigenen Satz von Ressourcen und Rollen, die zur Vereinfachung der Verwaltung des Diensts entwickelt wurden.
In diesem Artikel werden die Ressourcen und Rollen vorgestellt, die für die Artefaktsignierung spezifisch sind.
Artefaktsignierungsressourcentypen
Artifact Signing hat die folgenden Ressourcentypen:
Artefaktsignierungskonto: Ein Konto ist ein logischer Container aller Ressourcen, die Sie zum Abschließen des Signierens und für die Verwaltung von Zugriffssteuerungen auf vertrauliche Ressourcen benötigen.
Identitätsüberprüfungen: Die Identitätsüberprüfung führt die Überprüfung Ihrer Organisation oder ihrer individuellen Identität durch, bevor Sie Code signieren können. Die verifizierte Organisation oder individuelle Identität ist die Quelle der Attribute für die Werte des Subject Distinguished Name (Subject DN) Ihres Zertifikatprofils (z. B.
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Um diese Ressourcen zu erstellen, werden Identitätsüberprüfungsrollen den Mandantenidentitäten zugewiesen.Zertifikatprofile: Ein Zertifikatprofil ist die Konfigurationsattribute, die die Zertifikate generieren, die Sie zum Signieren von Code verwenden. Außerdem wird das Vertrauensmodell und das Szenario definiert, unter dem signierte Inhalte von vertrauenden Parteien genutzt werden. Dieser Ressource werden Signierrollen zugewiesen, um Mandantenidentitäten zu autorisieren, die Signierung anzufordern. Voraussetzung für die Erstellung eines Zertifikatprofils besteht darin, mindestens eine Identitätsüberprüfungsanforderung abgeschlossen zu haben.
In der folgenden Beispielstruktur verfügt ein Azure-Abonnement über eine Ressourcengruppe. Unter der Ressourcengruppe können eine oder mehrere Artefaktsignierkonto-Ressourcen mit einer oder mehreren Identitätsüberprüfungen und Zertifikatprofilen existieren.
Der Dienst unterstützt Public Trust, Private Trust, Code Integrity (CI)-Richtlinien, Virtualization-based Security (VBS)-Enklaven und Public Trust-Testsignaturtypen. Daher ist es sinnvoll, mehrere Artifact Signing-Konten und Zertifikatsprofile zu haben. Weitere Informationen zu den Zertifikatprofiltypen und deren Verwendung finden Sie unter Artefaktsignierungszertifikattypen und -verwaltung.
Hinweis
Identitätsüberprüfungen und Zertifikatprofile entsprechen entweder der öffentlichen Vertrauensstellung oder der privaten Vertrauensstellung. Eine Überprüfung der Öffentlichen Vertrauensidentität wird nur für Zertifikatprofile verwendet, die für das Öffentliche Vertrauensmodell verwendet werden. Weitere Informationen finden Sie unter Vertrauensmodelle für die Artefaktsignierung.
Artefakt-Signaturkonto
Ein Artefaktsignierungskonto ist ein logischer Container der Ressourcen, die zum Abschließen der Zertifikatsignierung verwendet werden. Artefakt-Signaturkonten können verwendet werden, um die Grenzen eines Projekts oder einer Organisation zu definieren. Für die meisten kann ein einzelnes Artefaktsignierungskonto alle Signaturanforderungen für eine Person oder Organisation erfüllen. Möglicherweise möchten Sie viele Artefakte signieren, die über dieselbe Identität verteilt werden (z. B. Contoso News, LLC), aber es gibt möglicherweise Grenzen, die Sie im Hinblick auf den Zugriff auf das Signieren ziehen möchten. Sie können ein Artefaktsignierungskonto pro Produkt oder pro Team verwenden, um zu isolieren, wie ein Konto verwendet wird oder um die Signatur nachzuverfolgen. Sie können dieses Isolationsmuster jedoch auch auf Zertifikatprofilebene erreichen.
Identitätsüberprüfungen
Identitätsüberprüfungen dienen der Feststellung der Identität auf den Zertifikaten, die zum Signieren verwendet werden. Es gibt zwei Typen: Öffentliche Treuhand und Private Treuhand. Was die beiden Typen definiert, ist die Ebene der Identitätsüberprüfung, die zum Abschließen der Erstellung einer Identitätsüberprüfungsressource erforderlich ist.
Public Trust bedeutet, dass alle Identitätswerte gemäß der Microsoft PKI Services-Zertifizierungspraxiserklärung (Third-Party Certification Practice Statement, CPS) überprüft werden müssen. Diese Anforderung entspricht den Erwartungen an öffentlich vertrauenswürdige Artefaktsignaturzertifikate.
Private Trust ist für Situationen vorgesehen, in denen ein etabliertes Vertrauen in eine private Identität zwischen einem oder mehreren vertrauenserfordernden Parteien (Signaturanwender) oder intern in App-Kontroll- oder Branchenszenarien (LOB) vorhanden ist. Bei Überprüfungen der privaten Vertrauensidentität gibt es eine minimale Überprüfung der Identitätsattribute (z. B. den
Organization UnitWert). Die Überprüfung ist eng mit dem Azure-Mandanten des Abonnenten verknüpft (z. B.Contoso.onmicrosoft.com). Die Werte in Zertifikatprofilen für Private-Trusts werden nicht über die Azure-Mandanteninformationen hinaus überprüft.
Weitere Informationen zu öffentlichen Vertrauensstellungen und privaten Vertrauensstellungen finden Sie unter Vertrauensmodelle zur Artefaktsignatur.
Zertifikatprofile
Die Artefaktsignierung stellt insgesamt fünf Zertifikatprofile bereit, die alle Abonnenten mit den auf die Identitätsüberprüfung abgestimmten und abgeschlossenen Ressourcen verwenden können. Diese fünf Zertifikatprofile sind wie folgt auf Identitätsüberprüfungen abgestimmt, die entweder auf öffentliches Vertrauen oder privates Vertrauen ausgerichtet sind.
-
Öffentliche Vertrauensstellung
Öffentliches Vertrauen: Wird verwendet, um Code und Artefakte zu signieren, die öffentlich verteilt werden können. Dieses Zertifikatprofil ist standardmäßig auf der Windows-Plattform für die Codesignierung vertrauenswürdig.
VBS-Enklave: Wird verwendet, um virtualisierungsbasierte Sicherheitsenklaven unter Windows zu signieren.
Öffentlicher Vertrauenstest: Wird nur für die Testsignierung verwendet und ist standardmäßig nicht öffentlich vertrauenswürdig. Betrachten Sie das Testzertifikatprofil für die öffentliche Vertrauensstellung als hervorragende Option für die Signierung der inneren Schleifenerstellung.
Hinweis
Alle Zertifikate mit dem Zertifikatprofiltyp für den Test der öffentlichen Vertrauensstellung enthalten die Lebensdauer-EKU (
1.3.6.1.4.1.311.10.3.13), welche die Validierung dazu zwingt, die Lebensdauer des Signaturzertifikats unabhängig vom Vorhandensein einer gültigen Gegensignatur mit Zeitstempel zu respektieren.
-
Private Trust
- Private Trust: Wird verwendet, um interne oder private Artefakte wie LOB-Anwendungen und Container zu signieren. Sie können es auch zum Signieren von Katalogdateien in App Control for Business verwenden.
-
CI-Richtlinie für private Vertrauensstellung: Das Zertifikatprofil der CI-Richtlinie für die private Vertrauensstellung ist der einzige Typ, der NICHT die Codesignieren-EKU (
1.3.6.1.5.5.7.3.3) enthält. Dieses Zertifikatprofil wurde für das Signieren von App Control for Business CI-Richtliniendateien entwickelt.
Unterstützte Rollen
Rollenbasierte Zugriffssteuerung (RBAC) ist ein Eckpfeilerkonzept für alle Azure-Ressourcen. Die Artefaktsignierung fügt zwei benutzerdefinierte Rollen hinzu, um die Anforderungen des Abonnenten für die Erstellung einer Identitätsüberprüfung (die Rolle "Artifact Signing Identity Verifier") und das Signieren mit Zertifikatprofilen (der Rolle "Artifact Signing Certificate Signer") zu erfüllen. Diese benutzerdefinierten Rollen müssen explizit zugewiesen werden, um diese beiden kritischen Funktionen bei der Artefaktsignierung auszuführen. Die folgende Tabelle enthält eine vollständige Liste der Rollen, die die Artefaktsignierung unterstützt, und deren Funktionen, einschließlich aller Standardmäßigen Azure-Rollen.
| Rolle | Verwalten und Anzeigen von Konten | Verwalten von Zertifikatprofilen | Signieren mithilfe eines Zertifikatprofils | Signierungsverlauf anzeigen | Rollenzuweisung verwalten | Verwalten einer Identitätsüberprüfung |
|---|---|---|---|---|---|---|
| Artefaktsignierungsidentitätsüberprüfer1 | X | |||||
| Artefaktsignierung des Zertifikatprofilsignierers2 | X | X | ||||
| Besitzer | X | X | X | |||
| Beitragender | X | X | ||||
| Leser | X | |||||
| Benutzendenzugriffsadministration | X |
1 Erforderlich zum Erstellen oder Verwalten der Identitätsüberprüfung. Nur im Azure-Portal verfügbar.
2 Erforderlich zum erfolgreichen Signieren mithilfe der Artefaktsignierung.
Verwandte Inhalte
- Führen Sie die Schnellstartanleitung zum Einrichten der Artefaktsignierung aus.
- Erfahren Sie mehr über Vertrauensmodelle für die Artefaktsignierung.
- Überprüfen Sie das Konzept der Artefakt-Signierzertifikate und ihrer Verwaltung.